2025年12月中旬、「Windows 11の更新を入れたら、社内VPN越しにWSLだけ通信できない」「SSHもGitも社内APIも、WSLだけ “No route to host(ホストへの経路がありません)”」という報告が一気に増えました。ふつうのブラウザやWindows側の通信は通るのに、WSL(Windows Subsystem for Linux/Windows上でLinuxを動かす仕組み)だけ詰まるのが厄介です。開発者だけじゃなく、運用・情シス・SOC(セキュリティ運用)も直撃しがち。 (マイクロソフトサポート)
- いま何が起きてる?いちばん困る症状
- 発生日時と該当アップデート
- 影響しやすい人
- 原因は何?推定じゃなく“公式が言ってるポイント”
- 公式対応状況
- まず切り分け:あなたは“この不具合”?
- いま効きやすい暫定対処:mirroredを外してNATへ戻す
- 他ユーザーの報告例:みんな同じところで転ぶ
- ここから考察:なぜ“互換性を上げる機能”が互換性で倒れた?
- コメント欄をフォーラム化しよう:あなたの環境、教えてください
- まとめ
いま何が起きてる?いちばん困る症状
「WindowsホストはVPN越しに到達できるのに、WSLだけが “No route to host” で落ちる」——これが今回の核心です。 (マイクロソフトサポート)
体感で言うと、WindowsのPowerShellから同じ宛先へ叩くと通るのに、WSLの中の ssh や git、社内DNS、踏み台サーバーだけが沈黙します。「あれ、VPN切れてる?」と疑うんですが、切れてない。むしろ “WSLだけ” が裏切ってくる感じで、地味に仕事が止まります。
発生日時と該当アップデート
起点として名指しされているのは、2025年10月28日公開のKB5067036以降で、12月の累積更新KB5072033にも既知の問題として明記されました。 (マイクロソフトサポート)
時系列をサクッと置くとこうです。
2025年10月28日:KB5067036(OS Builds 26200.7019 / 26100.7019)公開 (マイクロソフトサポート)
2025年11月14日:KB5068861絡みで「mirrored+VPNが死ぬ」報告がGitHubに登場(WSL 2.6.2.0など) (GitHub)
2025年12月9日:KB5072033(OS Builds 26200.7462 / 26100.7462)の既知の問題に「No route to host」症状が載る (マイクロソフトサポート)
ちなみに報道側でも「WSL+VPNで壊れる」として注意喚起が出ています。 (窓の杜)
影響しやすい人
“企業リソースへVPNで入る”+“WSLのmirrored networking(ミラー化ネットワーク)を使っている”が、かなり強い条件です。 (マイクロソフトサポート)
Microsoftの説明では、家庭利用(Windows Home/Proの個人端末)は起きにくく、企業ネットワーク、つまりDirectAccessなどを含む「社内向けVPN接続」が中心に影響するとされています。 (マイクロソフトサポート)
また、影響報告として Cisco Secure Client(旧Cisco AnyConnect)とOpenVPN が挙げられています。 (マイクロソフトサポート)
原因は何?推定じゃなく“公式が言ってるポイント”
原因は「VPNアプリの仮想インターフェイスがARP(Address Resolution Protocol/アドレス解決プロトコル)要求に応答しない」ことです。 (マイクロソフトサポート)
mirrored networkingは、Windows側のネットワークをWSLへ“ミラー”して互換性を上げる狙いの機能です。ところが今回、そのミラー側(WSL側)から飛ぶARP要求にVPNの仮想NICが返事をしないせいで、次の通信に必要なリンク層の解決が詰まり、結果として「経路がない」扱いになります。 (マイクロソフトサポート)
皮肉っぽいですが、「VPN互換性のためのmirroredが、VPNで倒れる」というオチなんですよね…。
公式対応状況
Microsoftは“調査中(under investigation)で、将来の更新で解決する”としつつ、現時点で決定打の恒久修正は出ていません。 (マイクロソフトサポート)
注意したいのが、「Known Issue Rollback(KIR)」が案内されている項目もKB5072033内にはあるんですが、それは別の既知の問題向けです。WSL+VPNの “No route to host” については、いまのところ「調査中」という書きぶりが中心で、公式の“一発で戻す”系の回避策は薄めです。 (マイクロソフトサポート)
まず切り分け:あなたは“この不具合”?
WSLがmirroredになってるかどうか、ここが最短の分岐点です。 (Microsoft Learn)
自分で .wslconfig を触った覚えがなくても、WSL Settings(設定UI)でネットワークをMirroredに切り替えた人はけっこういます。心当たりがあるなら、ほぼ当たりを引いてる可能性が高いです。逆に、WSLを使ってない/mirroredを使ってないなら、別系統(VPNクライアント自体の不具合等)も疑ったほうがいいです。
いま効きやすい暫定対処:mirroredを外してNATへ戻す
当面は「mirroredをやめる(networkingMode=nat)」か「DNS Tunnelingを切る(dnsTunneling=false)」が現実的です。 (Microsoft Learn)
手順はこんな流れ。作業は短いけど、社用PCならルール優先でお願いします。
(1) エクスプローラーで C:\Users\<ユーザー名>\.wslconfig を探します(無ければ“mirroredを使ってない”可能性もあります)。
(2) 念のため同じ場所にコピーして退避します(例:.wslconfig.bak)。
(3) .wslconfig を開き、networkingMode=mirrored があれば networkingMode=nat に変えるか、その行自体を外します(既定がNAT側に寄るため)。 (Microsoft Learn)
(4) もし dnsTunneling=true が入っていて、症状が残るなら dnsTunneling=false も試します。 (Microsoft Learn)
(5) PowerShell(管理者じゃなくてもOKなことが多い)で wsl --shutdown を実行し、WSLを完全停止します。
(6) VPNをいったん切断→再接続します(ここ、地味に効きます)。
(7) WSLを起動し直して、社内宛先への ssh や curl で疎通確認します。
mirroredには「LANからWSLへ直接つなげる」「VPN互換性が上がる」などのメリットもあるので、戻すのがつらい人もいるはず。そこは…うん、つらい。 (Microsoft Learn)
他ユーザーの報告例:みんな同じところで転ぶ
GitHubやRedditでも「更新後、VPN越しがWSLだけ死ぬ」「mirroredが原因っぽい」という報告がまとまってきています。 (GitHub)
たとえばWSLのGitHub Issueでは、Windows 11 24H2、WSL 2.6.2.0、networkingMode=mirrored 環境で、VPN越しリソースが到達不能になり、更新を外すと復旧した、という具体例が出ています。 (GitHub)
Reddit側でも、KB5067036/KB5072033絡みで“また更新が壊した”系の温度感が強めで、現場のイライラがそのまま流れてきます。 (Reddit)
X(旧Twitter)でも「ホストは繋がるのにWSLだけ遮断」系の声が見えます。 (X (formerly Twitter))
ここから考察:なぜ“互換性を上げる機能”が互換性で倒れた?
私は「mirrored側のARP設計が、VPNの仮想NIC実装と噛み合わないケースが露呈した」と見ています。 (マイクロソフトサポート)
mirrored networkingって、目的がわりと真っ当なんです。NATより“Windowsと同じネットワークっぽく”振る舞うので、VPNやプロキシやLANが絡む現場では、たしかに便利になる。 (Microsoft Learn)
でもVPNクライアント側も千差万別で、TAP/TUN、フィルタドライバ、仮想スイッチ連携など、内部の作りがけっこう違う。そこで「ARPをこう扱う前提」がズレると、一気に破綻するんでしょうね。正直、ここは“全社標準VPN”ほど巻き込まれやすい気がします。いたた…。
コメント欄をフォーラム化しよう:あなたの環境、教えてください
同じ症状でも「どのVPN」「どのWSL設定」「どのビルド」で差が出るので、報告が集まるほど助かります。
書き込み用テンプレ、置いておきます(コピペ歓迎)。
OS:Windows 11 24H2/25H2、OS Build(例:26100.7462)
更新:入ってるKB(例:KB5072033 / KB5067036)
VPN:製品名(例:Cisco Secure Client / OpenVPN)、接続方式(分かれば)
WSL:WSLバージョン、ディストリ(Ubuntu等)
設定:networkingMode(mirrored/nat)、dnsTunneling(true/false)
症状:WSLのどの操作で落ちる?(ssh/git/curl/名前解決だけ等)
回避:NATへ戻したら直った?DNSだけ切ったらどう?
「うちは直った」「直らない」「これが副作用で困った」…ぜんぶ価値あります。たぶん同じ穴に落ちてる人、あなたの想像より多いです。たのむ、情報を…!
まとめ
結論はシンプルで、当面は “mirroredを外す or DNS Tunnelingを切る” で仕事を通しつつ、Microsoftの修正待ちが現実路線です。 (マイクロソフトサポート)
「更新は正義」のはずが、たまにこういう日が来る。つらいね。とりあえず今日は、直して仕事を前に進めましょ。
